一、漏洞概述
5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。请相关用户尽快采取防护措施。
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。
二、影响范围
受影响版本
- Fastjson ≤ 1.2.80
不受影响版本
- Fastjson = 1.2.83
三、修复方案
① 开源版本
② 商业版本
四、修复确认
若有收获,就点个赞吧
0 人点赞
